CL-012 Windows 8.1 で 実 現 する BYOD 時 代 のセキュリティ 対 策 日 本 マイクロソフト 株 式 会 社 シニアテクノロジースペシャリスト 蔵 本 雄 一
本 セッションのゴール BYOD 時 代 に 必 要 なセキュリティ 対 策 を 把 握 し Windows 8.1 での 実 現 方 法 を 確 認
2001 年 から 変 化 したもの 働 き 方 脅 威
2001 年 から 変 化 したもの 働 き 方 脅 威
働 き 方 の 変 化 (BYOD 時 代 ) 3A Anytime Anywhere Anydevice いつでも どこでも どんなデバイスでも
働 き 方 の 変 化 (2001 年 ) 3F Fixed Time Fixed Place Fixed Device 決 められた 時 間 に 決 められた 場 所 で 決 められたデバイス
2001 年 から 変 化 したもの 働 き 方 脅 威
セキュリティ 対 策 の 変 化 ( 境 界 領 域 防 御 の 破 綻 ) インターネット 危 険 度 : 高 インターネット/ イントラネット 境 界 イントラネット 危 険 度 : 低 ウイルスや 攻 撃 Firewall/IDS/AV 等 で 防 御 機 密 情 報 は 安 全
クライアントを 直 接 狙 った 攻 撃 へシフト USB メモリ ウイルス 添 付 メール 改 ざんされた Web サイト リムーバブル メディア ウイルス 配 布 サイトへのリンク ウイルス 配 布 サイト 安 全 な OS で 保 護 モバイルルータに よるネット 接 続
BYOD 時 代 に 必 要 とされるセキュリティ Anytime / Anywhere 働 き 方 Anydevice 脅 威 モバイル セキュリティ デバイス セキュリティ OS セキュリティ 社 外 でも 安 全 に 使 用 管 理 対 象 外 の デバイスを 安 全 に 使 用 OS を 安 全 に 使 用
BYOD 時 代 に 必 要 とされるセキュリティ Anytime / Anywhere 働 き 方 Anydevice 脅 威 モバイル セキュリティ デバイス セキュリティ OS セキュリティ 社 外 でも 安 全 に 使 用 管 理 対 象 外 の デバイスを 安 全 に 使 用 OS を 安 全 に 使 用
DA による 安 全 なリモートアクセス Direct Access サーバー (Windows Server 2012 R2) Windows 8.1 Enterprise 外 出 先 DA = DirectAccess 企 業 Windows 8.1 Enterprise Windows 8.1 Enterprise 自 宅 Direct Access ドメイン 参 加 必 須 グループポリシー として 適 用 される ため 環 境 の 標 準 化 が 容 易 企 業 が 認 識 している 端 末 のみが 接 続 可 能 DA サーバーは NAT 配 下 へ 設 置 可 能 自 動 的 に 接 続
VPN による 安 全 なリモートアクセス 特 定 のアプリケーション 起 動 時 に 自 動 的 に VPN 接 続 可 能 自 動 VPN 接 続 F5 CheckPoint SonicWall Juniper の 4 社 VPN クライアントの プリインストール 自 動 VPN 接 続 は ドメイン 非 参 加 のPCでのみ 利 用 可 能
BitLocker による 盗 難 紛 失 対 策 BitLocker HDD 暗 号 化 デバイス 暗 号 化 USB メモリ 暗 号 化 BitLocker To Go Pro / Enterprise で 利 用 可 能 全 Edition で 利 用 可 能 Pro / Enterprise で 利 用 要 Microsoft アカウント
Windows To Go による 環 境 の 標 準 化 企 業 Windows To Go 軽 量 で 高 可 搬 性 Windows 8.1 Enterprise Windows To Go BitLockerによる 暗 号 化 で 盗 難 紛 失 対 策 も 可 能 データは USB の 中 のみに 保 存 外 出 先 Windows To Go 自 宅 Windows To Go オフラインでも 作 業 可 能 プロファイル 込 の 環 境
VDI+ o365 による データを 持 ち 出 さない 利 用 Office 365 自 宅 や 外 出 先 Virtual Desktop Infrastructure (VDI) Remote Desktop Services (RDS) で 動 作 RemoteApp 企 業 ネットワーク VDI / Office 365 RemoteFXでリッチ なインターフェイス が 利 用 可 能 最 新 のアプリ 及 び デバイスへの マルチタッチ サポート ローカルの USB 機 器 や Lync をサポート ローカルにデータを 残 さない 運 用 が 可 能
BYOD 時 代 に 必 要 とされるセキュリティ Anytime / Anywhere 働 き 方 Anydevice 脅 威 モバイル セキュリティ デバイス セキュリティ OS セキュリティ 社 外 でも 安 全 に 使 用 管 理 対 象 外 の デバイスを 安 全 に 使 用 OS を 安 全 に 使 用
現 代 の BYOD 実 施 状 況
ワークフォルダーによる 安 全 なファイル 同 期 インターネット 越 しに どこからでも 同 期 してフォルダを 最 新 に 更 新 RMS 連 携 による 自 動 暗 号 化 も 可 能 ワークフォルダとの 組 み 合 わせで 登 録 された 端 末 からのみ 使 用 可 能 端 末 紛 失 時 には 業 務 データのリモート 消 去 も 可 能 https://workfolder.contoso.com/ Start 事 前 認 証 同 期
ワークフォルダー DEMO
ワークプレイスジョインによる 端 末 の 安 全 な 利 用 ワークグループ と ドメイン 参 加 の 間 のような 位 置 づけ ワークプレイスジョインした 端 末 のみがアクセス 可 能 Windows だけでなく ios も ワークプレイスジョイン 可 能 Android も 対 応 予 定 ワークグループ ワークプレイス ジョイン ドメイン 参 加 Start Start リスク 安 全 性 企 業 管 理 不 可 部 分 管 理 完 全 管 理 利 用 者 アクセス 不 可 部 分 アクセス 完 全 アクセス
ワークプレイスジョイン DEMO
BYOD 時 代 に 必 要 とされるセキュリティ Anytime / Anywhere 働 き 方 Anydevice 脅 威 モバイル セキュリティ デバイス セキュリティ OS セキュリティ 社 外 でも 安 全 に 使 用 管 理 対 象 外 の デバイスを 安 全 に 使 用 OS を 安 全 に 使 用
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
ELAM による 安 全 なブート ELAM = Early Launch Anti-Malware マルウェアが 自 身 を 隠 蔽 可 能 マルウェア 対 策 ソフト 起 動 前 に 感 染 する 可 能 性 マイクロソフトがサインした OS Loader のみが 起 動 可 能 ドライバより 先 にマルウェア 対 策 ソフトが 起 動
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
強 化 された WFW で 通 信 可 否 を 制 御 受 信 方 向 の 通 信 を 禁 止 / 許 可 送 信 方 向 の 通 信 を 禁 止 / 許 可 任 意 のプログラム やポートの 通 信 を 禁 止 / 許 可 GPO / SCCM 2012 で 一 元 管 理 可 能 受 信 制 御 送 信 制 御 プログラム / ポート 制 御 一 元 管 理 攻 撃 防 止 だけでなく マルウェア 等 許 可 しないプロセスによる 外 部 への 通 信 も 遮 断 WFW = Windows Firewall
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
AppLocker によるアプリケーション 起 動 制 御 許 可 したアプリケー ションのみが 動 作 可 能 ホワイトリスト ホワイトリストを 容 易 に 自 動 生 成 ルールの 自 動 生 成 グループポリシーで 一 元 管 理 一 元 管 理 Office 等 企 業 が 動 作 を 許 可 したアプリケーションだけを 動 作 させ Winny 等 企 業 が 動 作 させたくないアプリケーションを 禁 止
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
整 合 性 レベルによる 権 限 制 御 アクセスを 制 御 するメカニズム ACL とは 別 のもう 一 つのアクセス 権 限 ACL より 先 にチェック 3 つの 整 合 性 レベルと 3 つのポリシーの 組 み 合 わせ 整 合 性 レベル: 低 中 高 ポリシー:No Write-Up No Read-Up No Execute-Up IL = Integrity Level ( 整 合 性 レベル) IL 権 限 フォルダーやレジストリの 例 管 理 者 権 限 システム 用 の 領 域 %PrograFiles% や %WinDir% 高 への 書 き 込 みが 可 能 HKLM 中 低 標 準 権 限 ユーザー 用 の 領 域 へ の 書 き 込 みが 可 能 信 頼 できない 権 限 安 全 な 領 域 への 書 き 込 み のみ 可 能 %UserProfile% HKCU %UserProfile% AppData LocalLow HKCU Software AppDataLow
例 えば プロセス オブジェクト 整 合 性 レベル: 低 中 プロセス 書 き 込 み 不 可 整 合 性 レベル: 高 No Write-Up オブジェクト 整 合 性 レベル: 低 中 読 み 込 み 不 可 整 合 性 レベル: 高 No Read-Up
UAC による 権 限 制 御 意 図 しない システム 変 更 を 防 止 管 理 者 の 同 意 なしでの インストールを 防 止 ダイアログを 表 示 インストールや システム 設 定 変 更 等 管 理 者 の 許 可 を 必 要 とする 操 作 ダイアログを 表 示
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
Internet Explorer 11 による 安 全 なブラウジング フィッシング/ 悪 意 のあるソフトウェ アに 利 用 されてい るサイトを 検 出 Cookie 等 の 資 格 情 報 へのアクセスや Loopback 等 の 制 限 バッファオーバー フロー 等 メモリ 不 正 利 用 による 攻 撃 を 防 止 各 種 プラグインの 無 効 化 や 追 跡 防 止 Active X の 動 作 を 制 限 SmartScreen 拡 張 保 護 モード メモリ 保 護 フィルター
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
リソースの 保 護 システムファイルやフォルダ 等 は 特 別 なユーザーにのみ フルコントロールを 付 与 Windows リソース 保 護 システムプロセスやサービスと ユーザーのセッションを 分 離 セッション 0 の 分 離
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
Windows Defender によるウイルス 対 策
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
ASLR でマルウェアの 起 動 リスクを 低 減 ASLR = Address Space Layout Randamization メモリアドレス 0x7d000000 0x7b000000 0x79000000 0x77000000 1 回 目 の 起 動 USER32 ntdll kernel32 埋 め 込 んだウイルス GDI32 RCPRT4 2 回 目 の 起 動 ntdll USER32 RCPRT4 kernel32 埋 め 込 んだウイルス GDI32 アドレスが 毎 回 異 なるため ウイルスの 起 動 は 非 常 に 困 難
Window 8.1 のセキュリティ 機 能 設 計 安 全 な 開 発 手 法 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 安 全 な 起 動 HDD の 不 正 な 閲 覧 防 止 通 信 可 否 の 制 御 アプリケーション 起 動 制 御 権 限 制 御 安 全 なブラウジング リソースの 保 護 ウイルス 対 策 セキュリティ 更 新 プログラム 悪 意 あるコードの 実 行 を 防 止
Window 8.1 のセキュリティ 機 能 設 計 SDL 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 整 合 性 レベル UEFI BitLocker / デバイス 暗 号 化 強 化 された Windows Firewall AppLocker Internet Explorer 11 Windows リソース 保 護 セッション 0 の 分 離 Windows Defender セキュリティ 更 新 プログラム 強 化 された ASLR UAC UIPI 強 化 された DEP
Window XP のセキュリティ 機 能 設 計 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時 セキュリティ 更 新 プログラム
Window XP EOS 後 のセキュリティ 機 能 設 計 起 動 通 信 プロセス 実 行 時 脆 弱 性 への 攻 撃 時
BYOD 時 代 の 働 き 方 Anytime Anywhere Anydevice いつでも どこでも どんなデバイスでも
BYOD 時 代 に 必 要 とされるセキュリティ Anytime / Anywhere 働 き 方 Anydevice 脅 威 モバイル セキュリティ デバイス セキュリティ OS セキュリティ 社 外 でも 安 全 に 使 用 管 理 対 象 外 の デバイスを 安 全 に 使 用 OS を 安 全 に 使 用
EXPO 会 場 にて タッチ&トライ 実 施 中!
EXPO( 展 示 会 場 )WindowsZoneで 紹 介 中 Windows ストア アプリ 業 務 アプリケーションも 続 々リリース!!
2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.